Standardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak)

Like dokumenter
Standardisering av krypto i offentlig sektor

BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)

ECC i akademia vs. industrien

Standardiseringsrådsmøte

Vår referanse: A03 - G:17/173 Revisjon: 01 NASJONAL SIKKERHETSMYNDIGHET. Sikker informasjon i tiden etter en kvantedatamaskin KVANTERESISTENT KRYPTO

Standarder for risikostyring av informasjonssikkerhet

Standarder for sikker bruk av VPN med og i offentlig sektor

Referat fra møtet i Standardiseringsrådet september 2011

Nasjonal sikkerhetsmyndighet

NSMs kryptoaktiviteter

KRYPTO OG AKTUELLE PROBLEMSTILLINGER

Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor

Transportsikring av e-post rfc STARTTLS

Utredning av Standarder for sikker bruk av VPN -med og i offentlig forvaltning. Versjon oktober 2011

Utredning av standarder for styring av informasjonssikkerhet

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Prioritering møte i Standardiseringsrådet Beslutningssak

Referat fra møtet i Standardiseringsrådet september 2011

Kryptografi og nettverkssikkerhet

Nasjonal sikkerhetsmyndighet

Forelesning 2: Kryptografi

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Kryptografi og nettverkssikkerhet

Vurdering av standarder fra NOSIP. Beslutningssak i det 25. standardiseringsrådsmøte

Utredning av behov for HTTPS i offentlig sektor. Tillit, tilgjengelighet, brukervennlighet og effektivisering

eforum: drøfting av Seid leveranse 2

PrENV : Sikkerhet for kommunikasjon i helsevesenet. Del 3 : Sikre datakanaler. Oversatt ved Kompetansesenter for IT i Helsevesenet

Prosjektrapport HTTPS for offentlige webtjenester

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Forelesning 2: Kryptografi

Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019

Eksamen i emne TTM4135 Informasjonssikkerhet Løsningsforslag.

Vedlegg A: Behandling i Standardiseringsrådet, HTTPS

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Referat fra møtet i Standardiseringsrådet januar 2013

Norsk standard for beskrivelse av datasett og datakataloger. Møte i Standardiseringsrådet

Geomatikkdagene 2018 Stavanger

Nasjonal sikkerhetsmyndighet

Selmersenteret. ACT - Prosjektet. Kryptografer lærer å tenke som kriminelle. Oversikt

Nasjonal sikkerhetsmyndighet

En oversikt over forskjellige aspekter ved sikkerhetspolicyer

STANDARDISERINGSRÅDETS ARBEID

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefaling om bruk av HL7 FHIR for datadeling

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

Revisjonsnotat Beslutningssak i det 25. standardiseringsrådsmøte

Prioritering Møte i Standardiseringsrådet 24. november 2011

Smartkort og Windows 2000

Standardiseringsrådsmøte # Veikart

Notat. Til Dato Saksnr. Nærings- og fiskeridepartementet / Direktorat for e-helse Mona Holsve Ofigsbø Christine Bergland

Tiltaksliste Informasjonsforvaltning og -utveksling

Vurdering av standarder fra NOSIP. Oktober 2010

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Standardiseringsrådsmøte # Standarder for pekere til offentlige ressurser på nett

TEKNISKE PROBLEMSTILLINGER. Grunnkurs Våren 2007 Trond Haugen

Referat Standardiseringsrådet - møte #

Nasjonal sikkerhetsmyndighet

Altinn, Difi og MinSide. Samarbeid og grenseoppgang. Altinndagen - Hallstein Husand

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Revisjonsnotat høsten 2014

Sondre Granlund Moen

Høring - Anbefalt standard for transportsikring av epost

Elementær Kryptografi (Appendix A, Cryptography Basics, Building Secure Software)

EXEP Norsk deltakelse i EU-arbeid med digitalisering av innkjøp hvordan påvirke?

Teknologidagene 2015 Framtidige forskningsbehov. Marit Brandtsegg Direktør Trafikksikkerhet, miljø- og teknologiavdelingen

1. Krypteringsteknikker

Forelesning 3: Nøkkelhåndtering og PKI

Videokonsultasjon - sjekkliste

Anbefalinger om åpenhet rundt IKT-hendelser

TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC

Sertifisering av IT-sikkerhet

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur

Status prioriterte tiltak policygruppe, andre initiativ

Referat fra møtet i Standardiseringsrådet mai 2014

2.13 Sikkerhet ved anskaffelse


Populærvitenskapelig foredrag Kryptering til hverdag og fest

Vår digitale hverdag Et risikobilde i endring

Strategi for eid og e-signatur i offentlig sektor. KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Lek 01 Grunnprinsipper

Hva sier NS-EN 1717 om krav til tilbakeslagssikring?

Nasjonal sikkerhetsmyndighet

Spørreundersøkelse om innholdet innen nasjonal arkitektur på Difi.no/arkitektur

Felles IKT-arktiektur med vekt på sikker tilgang til elektroniske tjenester - presentasjon for Norsk kommunal teknisk forening

NÆRINGS- OG HANDELSDEPARTEMENTET. Norsk kryptopolitikk

Nasjonalt eid-program

INFORMASJONSSIKKERHET

KommITs tanker om standardisering og felleskomponenter

Autentiseringsløsninger i VPN og nøkkeldistribusjon

Møtereferat fra Standardiseringsrådsmøtet 12.nov. 2015

Forskrift 25. september 2009 nr om IT-standarder i offentlig forvaltning

Ola Edvart Staveli Mars 2010

Nasjonal sikkerhetsmyndighet

NORA og Open Access Noen internasjonale perspektiver. Det 72. norske bibliotekmøte Hamar, 18. mars 2010

Gjengangere fra kundesenteret. Grunnkurs Høsten 2006 Unni Solås & Trond Haugen

Tillegg nr. 2 til tildelingsbrev for 2018

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Transkript:

Standardisering av krypto i offentlig sektor Standardiseringsrådsmøte 14.09.11 (beslutningssak)

Bakgrunn Det er lite hensiktsmessig at hvert prosjekt som skal ta i bruk krypteringsteknologi, selv skal gjøre vurderinger av hvilke algoritmer som bør benyttes og med hvilken nøkkellengde. Anbefaling av en liste/veileder om hvilke algoritmer og hvilke nøkkellengder som er egnet for ulike anvendelsesområder i offentlig sektor

Rapporten Oversikt over de mest anerkjente standardiseringsorganisasjonene og fagmiljøene innen kryptografi. Oversikt over publiserte dokumenter fra disse miljøene Anbefaling av kryptomiljø som tilfredsstiller offentlig sektors behov

Avgrensninger Rapporten har kun sett på beskyttelsen av sensitiv, men ugradert informasjon som ikke omfattes av sikkerhetsloven. Kryptoanalyse er ikke en del av rapporten

Vedlegg til rapporten Inngående redegjørelse for generell teori innen kryptografi Symmetrisk Asymmetrisk Digital signering Hash-funksjoner Nøkkeladministrasjon (nøkkelgenerering, nøkkeldistribusjon)

Vedlegg til rapporten Identifiserer standardiserte og godkjente algoritmer og nøkkellengder DES,TDEA,AES, RSA,DSA, ECDSA og SHA-familien Beskrivelser av realiserte løsninger (protokoller) TLS og IPSEC Ser på noen bruksområder for kryptografi Transportkrypto Lagringskrypto

Kryptomiljøer Nasjonal sikkerhetsmyndighet (NSM) Direktorat underlagt Forsvarsdep. Cryptographic Requirements (CR) Primært for militær sektor, virksomheter underlagt sikkerhtetsloven moderate nivå for sivil sektor Tilpasset norske forhold

Kryptomiljøer National Institute of Standards and Technology (NIST) Amerikansk etat underlagt handelsdept. Utgir standarder vedr. kryptoalgoritmer til bruk i offentlige datasystemer i USA. Federal Information Processing Standards (FIPS) Special Publications (SP)

Kryptomiljøer European Network of Excellence for Cryptology II (ECRYPTII) Forskningsbasert nettverk bestående av europeiske aktører innen kryptologi. EU finansiert 4 års program Årlig utgivelse med anbefalinger vedr. kryptoalgoritmer og nøkkellengder.

Kryptomiljøer American National Standards Institute (ANSI) Privat amerikansk organisasjon USAs representant i ISO Utarbeider ikke standarder Selger ISO og ASC standarder (X9-serien) på sine nettsider International organization for Standards (ISO) Har utgitt en del standarder innen feltet (kryptoalgoritmer, nøkkellengder og nøkkeladministrering Internet Engineering Task Force (IETF) RFC

Punkter fra drøftingen NIST har gjennom sine FIPS og SP god dekning for ulike anvendelser av godkjente algoritmer for sivil sektor i USA NSM baserer seg blant annet på NISTs arbeid, med visse tillegg for å tilfredsstille norske krav NSM sitt CR kan virke litt tung for sivil sektor

Punkter fra drøftingen IETF virker veldig uoversiktlig med alle sine RFC er ISO og ANSI har et bredere nedslagsfelt og kanskje noe nøytralt ift. offentlig sektor ECRYPTII ser på krypto krav til styrke ved å tenke sikkerhetsnivåer, hvor lenge informasjonen skal beskyttes og verdien på informasjonen. Virker omfattende.

Punkter fra drøftingen Fordelen med NSM sin Cryptographic Requirements (CR) er at de samler de nasjonale kravene som stilles på ett sted, og man har i utgangspunktet kun ett dokument å forholde seg til.

Konklusjoner i rapporten Rapporten konkluderer med at NSM forvalter en liste over godkjente kryptografiske algoritmer med tilhørende godkjente nøkkellengder primært for militær anvendelse. Denne listen har også anbefalinger for sensitiv men ugradert informasjon. Det anbefales at NSM forespørres om å utarbeide og vedlikeholde et eget dokument for kun sivil offentlig anvendelse. Det anbefales også at Difi utreder protokoller for kryptering.

Rådet bør vurdere å anbefale Difi til å ta initiativ til at NSM etablerer et dokument med krav til krypto for beskyttelse av sensitiv, men ugradert informasjon i offentlig sektor.(nsms Moderate-kravsett) å anbefale at arbeidet med å utrede standarder for protokoller for kryptering av informasjon, legges til NSM i samarbeid med Difi og flere. Og at det opprettes en arbeidsgruppe for dette arbeidet.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding